공중파에서 좀비PC에 대한 프로가 한번 방송되니 인터넷에 넘쳐나는 컨텐츠가 되어버린 좀비PC…
컴퓨터 좀 한다~~하는 사람들도 과연 내 PC가 좀비PC인지 확인하기 위해 여기저기 백신이나 한국인터넷진흥원에서 운영하는 “보호나라(http://www.boho.or.kr/index.jsp)”에 접속하여 좀비PC인지 확인할 수 있게 해준다는 프로그램을 설치하는 모양이다.
하지만 남에게 의존하는 보안이란 그리 바람직 하지 않다. 왜냐하면 남을 믿지 못하기 때문에 강화하는 것이 바로 “보안”인데 그 “남”에게 의존하게 되기 때문이다. 게다가 내 PC를 생면부지의 사람에게 원격점검을 맏긴다는 사실도 많은 사람들에게 거부감을 불러일으길 수 있다.
가장 좋은 방법은 간단하지만 확실한 방법을 스스로 익혀서 감염이 의심될 때 혹은 인터넷을 사용하는 중간중간 스스로 진단하는 것일 것이다.
좀비(Zombi) PC 확인 방법
내 PC가 좀비PC가 되었다면 크게 두가지 현상이 발생된다.
– 내 PC가 다른 서버 혹은 PC로 불량(?) 트래픽을 발생시켜 공격하게 되어 동작이 느려진다.
– 내 PC가 원격의 해커에게 조종을 당한다. (자료유출, 원격모니터링,원격제어 – 느려지기도 하지만 표시가 날 정도는 아닌경우도 많다.)
이 증상을 확인할 수 있는 방법은 내 PC가 인터넷)외부)의 어느 PC혹은 Server(서버)와 통신하는지를 점검하면 된다. 이 때 사용되는 명령어가 바로 netstat 명령이다. 외부와 통신하고 있는 프로세스와 포트번호를 확인하기 위해서는 다음과 같은 명령을 수행해본다.
C:\Users\Administrator>netstat -ano
위의 화면에 대해 설명하면…
1. PC에서 실행하고 있는 PID 1767번 프로세스가 외부의 IP 111.67.208.47 과 통신 연결이
이루어져 있고 프로세스의 이름은 ExpressService.exe 이다.
2. 통신의 상태는 “ESTABLISHED” 상태다. 이 상태는 연결이 이루어져 있으며 지금도
무언가 통신하고 있을 가능성이 매우 높다는 것을 의미한다.
3. 이 프로그램이 정상적인 프로그램인지 확인한다. 만약 알수 없는 프로그램이라면 종료시키고
파일을 찾아 삭제해주어야 한다. 악성프로그램일 수 있다.
위의 도스창에서는 통신상태가 “ESTABLISHED” 이다. 이 통신상태는 여러가지 상태가 있을 수 있는데 내 PC가 좀비PC가 되어 외부의 서버를 공격하고 있다면 SYN_SENT 와 같은 상태의 소켓이 적게는 수십, 많게는 수백라인이 보이게 된다.
netstat -ano | findstr SYN_SENT
위의 명령을 이용해 통신상태가 SYN_SENT 상태인 프로세스의 PID를 찾아 작업관리자에서 해당 프로세스를 찾으면 공격하고 있는 악성 프로그램을 찾을 수 있다. SYN_SENT 인 통신상태가 많다면 그 PC가 좀비PC가 되어 다른 웹서버에게 SYN_FLOODING 공격을 하고 있다는 듯이 된다.
답글 남기기